通过2.4.1的KLog Server允许经过身份验证的命令注入。async.php在源参数的原始值上调用shell_exec()。劣势:命令中特殊元素的不适当中和(“命令注入”)该软件使用来自上游组件的外部影响的输入来构建命令的全部或部分,但是它不会中和或错误地中和了可能在将预期命令发送到下游组件时修改预期命令的特殊元素。CVE-2021-3317漏洞利用工具Al1ex / CVE-2021-3317官方CVE参考查看参考文献packetstormsecurity.com/files/161208/Klog-Server-2.4.1-Command-Injection.htmlunsafe-inline.com/0day/klog-server-authenticated-command-jectio